Есть ли способ проверить AD для конкретного пароля?

8

Есть ли способ проверить AD для проверки конкретного пароля?

Мы использовали «стандартный» пароль для всех новых пользователей (например, MyPa55word ). Я хочу убедиться, что он больше не используется нигде в нашем имении.

Единственный способ, которым я мог бы подумать, как это сделать, - это либо а) как-то проверить каталог для любых пользователей с этим паролем, либо б) настроить GP, который специально запретил бы этот пароль (в идеале это тогда побудило бы пользователей сбросить свой пароль). )

У кого-нибудь есть какие-либо советы о том, как я могу подойти к этому?

Та,

Бен


источник
3
Я лично думаю, что вы принимаете неправильный подход. Вместо того, чтобы пытаться увидеть, кто является плохим, почему бы не остановить его от плохого, просто установив опцию «Пользователь должен сменить пароль при следующем входе в систему» ​​для всех вновь создаваемых учетных записей? Конечно, это будет самое простое и безопасное решение?
Брайан
Метод, предложенный Брайаном, призван предотвратить возникновение вашей проблемы.
Джон Гарденье
Договорились на будущее, но мы пытаемся исправить проблему, которая уже произошла. Проблема с подходом «заставить пользователя сменить пароль при следующем входе в систему» ​​заключается в том, что большинство наших пользователей работают удаленно - смена паролей у пользователей вне офиса в прошлом вызывала у нас проблемы.

Ответы:

1

Вот пара идей - ни одна из них на самом деле не очень хороша (если предположить, что они могут активировать антивирусные или обнаружение вторжений):

  • Вы можете сбросить хеши паролей из Active Directory и запустить на них взломщик паролей. Каин и Авель могут взломать тебя. Вы можете получить хеши с помощью fgdump. Осторожно - обе эти утилиты, вероятно, вызовут тревожные сигналы в вашем антивирусном программном обеспечении.

  • Вы можете написать простой сценарий для перебора выходных данных списка пользователей, проверяя действительные пароли с помощью команды «NET USE». Используйте что-то вроде этого:

    @ эхо выключено

    rem Путь к «карте» для «диска» для проверки пароля
    установить DESTPATH ​​= \\ SERVER \ Share
    rem Буква диска, используемая для «сопоставления» диска с тестом пароля
    SET DRIVE_LETTER = Q:

    rem NetBIOS доменное имя для проверки
    установить ДОМЕН = ДОМЕН

    rem Файл, содержащий список имен пользователей, по одному в строке
    SET USERLIST = userlist.txt

    Пароль для проверки
    SET PASSWORD = MyPa55word

    файл вывода rem
    SET OUTPUT = output.txt

    если существует "% DRIVE_LETTER% \." Перейти _letter_used

    for / f %% i in (% USERLIST%) do (
        net use% DRIVE_LETTER%% DESTPATH% / USER:% DOMAIN% \ %% i% PASSWORD%

        если существует "% DRIVE_LETTER% \." echo %% i пароль:% PASSWORD% >>% OUTPUT%

        чистое использование% DRIVE_LETTER% / d / y
    )

    конец

    : _letter_used
    echo% DRIVE_LETTER% уже используется. Измените его на букву свободного диска и повторите.

    :конец

Поместите список пользователей в «userlist.txt» (одно имя пользователя на строку), установите переменные в верхней части скрипта, чтобы они указывали путь, по которому пользователь должен иметь возможность «сопоставить» «диск», и убедитесь, что ПК, на котором он работает, не имеет других «дисков», «привязанных» к целевому серверу (поскольку ПК с Windows позволяет использовать только один набор учетных данных для одновременного подключения клиентов SMB к данному серверу).

Как я уже сказал - любой метод, вероятно, не очень хорошая идея. > Улыбка <

Эван Андерсон
источник
1
если вы сбросите хеши, настроив учетную запись на ваш пароль по умолчанию, вы узнаете, что это за хеш, и можете просто искать, не так ли?
xenny
Вы, сэр, легенда. Я не думаю, что объяснил вопрос очень хорошо - но это именно то, что мне было нужно. Был после быстрого сброса всех с этим конкретным паролем, чтобы я мог незаметно заставить их изменить их. Большое спасибо!
8

Официального способа просмотра паролей пользователей нет (возможно, но вы должны вникать в ... утилиты безопасности). Вероятно, лучше всего подходить к этому с точки зрения возраста пароля. Звучит так, как будто вы можете сравнить дату создания пользователя с датой последнего изменения пароля, и, если есть совпадение, переключите поле «изменение пароля при следующем входе в систему».

Кара Марфия
источник
Ах ... очень хорошее решение!
blank3
1

создайте общий ресурс, где вас просят ввести пароль при использовании сети. затем напишите скрипт, который пытается сопоставить общий ресурс со всеми именами пользователей и pw по умолчанию. таким образом, вход в систему не является обязательным, и вы не нарушите политику

raerek
источник
Именно это и делает мой сценарий в моем ответе.
Эван Андерсон
1

Вы должны взглянуть на Джона Потрошителя - это утилита для взлома паролей. Вы можете запустить его в режиме атаки по словарю, который берет список паролей из текстового файла. Ваш список слов может состоять только из вашего пароля по умолчанию.

Должно быть довольно быстрым, вероятно, быстрее, чем предложенный сценарий share + connect через пароль.

Christopher_G_Lewis
источник
0

Вы можете попытаться найти способ сценария попытки входа в общий ресурс или ресурс, который будет пытаться использовать этот «стандартный» пароль для каждого пользователя в списке, например, с использованием пакетного файла, а затем записать, какие из них были успешными. Но это было бы много работы для одного аудита, если вы не большой бизнес с большим количеством учетных записей. Там могут быть какие-то серые утилиты безопасности, но я не знаю, насколько вы им доверяете.

Вы можете получить утилиту аудита паролей с помощью атаки по словарю (l0phtcrack?) И использовать только свой пароль по умолчанию в качестве пользовательского словаря. Это может сделать вещи быстрее и проще.

Это становится рискованным, так как эти утилиты являются инструментами, которые помогают не только навредить. Некоторые сканеры вредоносных программ помечают их, даже если вы используете их в законных целях. В Windows не так много встроенных утилит проверки паролей для администраторов, так как она была настроена специально для того, чтобы администраторы могли сбрасывать или очищать пароли, но не знали, что такое «потерянные» или «забытые» пароли.

Барт Сильверстрим
источник
0

Я бы установил в истории паролей Enforce большое число (скажем, 10) и либо уменьшил бы срок действия моего пароля до 30, либо написал бы пароль для всех пользователей с истекшим сроком действия. Следующее, что нужно сделать, это посмотреть на учетные записи служб и сбросить их пароли. Если у вас большая среда, это будет болезненно (например, новые учетные записи управляемых служб в 2008 году). Я согласен с Бартом в том, что утилиты, которые могут восстановить пароль, часто доставляют больше хлопот, чем они того стоят. Надеемся, что вы находитесь в среде, где они позволят вам истечет срок действия паролей через равные промежутки времени, и в этом случае этот пароль обязательно уйдет во времени, если у вас установлена ​​история паролей.

Джим Б
источник
0

В прошлом я использовал pwdump 6 для сброса хэшей паролей.

Заранее создайте аккаунт с паролем. Если пользователи используют один и тот же пароль, хэш пароля для пользователей должен быть таким же. Просто убедитесь, что у вас есть разрешения, так как хеши паролей чувствительны, поскольку существуют такие инструменты, как радужные таблицы, размер которых составляет несколько гигабайт и которые позволяют людям найти пароль пользователя из хеша.

Системы Linux и Unix предотвращают использование радужных таблиц, поскольку они часто добавляют соль, чтобы гарантировать, что хэш-таблицы для одной системы не могут использоваться для второй системы.

Я работал в компании, проверенной крупной фирмой, которая предложила нам прекратить предоставлять общие пароли при настройке пользователей, поскольку они также часто получают групповые назначения - это означает, что кто-то, зная, что Джон Дж. Смит запускает, может попытаться войти со стандартным именем пользователя для Джона Смита вместе с стандартный пароль.

отметка

Markl
источник